Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
Set 07, 2018 Marco Schiaffino Attacchi, Gestione dati, Hacking, In evidenza, Intrusione, Leaks, News, RSS 1
Un attacco nei confronti del sito Web del patronato INAS-CISL ha portato al furto (e alla pubblicazione) dei dati personali di 37.500 persone, tra cui numerosi impiegati di ministeri e agenti della Polizia di Stato. A rivendicarlo su Twitter è il gruppo LulzSecITA, che nel tweet ha inserito anche il link per scaricare il database.
Il gruppo, affiliato ad Anonymous Italia, aveva fatto parlare di sé in altre occasioni. La più clamorosa lo scorso febbraio, quando ha sottratto e pubblicato il contenuto di alcuni server della Lega Nord, comprese alcune email personali di Matteo Salvini.
Questa volta, però, la strategia degli hacktivist è piuttosto difficile da capire. Nel loro tweet giustificano l’attacco come una sorta di “azione dimostrativa contro il potere”, simile a quella che li ha spinti a prendere di mira il Ministero della Salute lo scorso luglio.
Peccato che INAS, nonostante il nome (Istituto Nazionale Assistenza Sociale) non sia un’istituzione legata al governo, ma il servizio di patronato che fa riferimento al sindacato CISL. Insomma: se l’idea era quella di prendersela con il potere costituito, a questo giro i membri di LulzSecITA hanno preso un discreto abbaglio.
Tanto più che il leak è di quelli che possono provocare grossi problemi. I dati pubblicati contengono nome e cognome degli iscritti al patronato, informazioni sulla loro posizione lavorativa, email, password dell’account e numero di cellulare.
A farne le spese saranno in primo luogo gli utenti, che da questo momento possiamo considerare a rischio hacking su qualsiasi servizio. Vista l’abitudine (deprecabile, ma ancora molto diffusa) di utilizzare la stessa password per più servizi, è infatti probabile che molti di loro pagheranno cara la bravata dei LulzSec.
E i problemi potrebbero essere anche più gravi per alcuni di loro. Tra i nominativi, infatti, ce ne sono parecchi che fanno riferimento a indirizzi email del Ministero di Giustizia, del Ministero dell’Interno e anche della Polizia di Stato.
Dalle parti di INAS, nel frattempo, sembrano non essersi accorti di nulla, ma è difficile che possano ignorare la vicenda per molto tempo. Guardando il materiale pubblicato dai LulzSecITA, infatti è lecito pensare che tutti i dati fossero conservati in chiaro, senza alcuna forma di crittografia o salt. Insomma: in chiara violazione di quanto prescritto dal nuovo regolamento GDPR.
Resta da verificare se questi siano gli unici dati a cui gli hacker hanno avuto accesso. Trattandosi di un servizio di patronato, infatti, è probabile che sui server di INAS ci siano anche altri documenti sensibili, come le dichiarazioni dei redditi.
Non solo: considerati tutti i meccanismi di detrazione previsti dal sistema fiscale italiano, è possibile che sui sistemi di INAS ci possano essere anche documenti medici o di altra natura. Una potenziale apocalisse della privacy.
***AGGIORNAMENTO
L’INAS ci ha inviato una nota, che riportiamo di seguito, per chiarire i dubbi che abbiamo espresso in fondo all’articolo:
In relazione all’articolo da voi pubblicato ieri sull’hackeraggio al sito www.inas.it, ci preme precisare che – a differenza di quanto da voi ipotizzato – gli utenti dell’Inas Cisl ricevono assistenza previdenziale esclusivamente nelle nostre sedi e che i loro dati non sono registrati sul database del nostro sito web.
Ci preme inoltre sottolineare che il nostro sito riporta in evidenza un avviso per gli utenti in merito al problema creato al sistema.
Per una informazione corretta vi chiediamo cortesemente, pertanto, di rettificare il contenuto dell’articolo eliminando le inesattezze, per evitare la diffusione di notizie errate in una fase in cui stiamo lavorando per tutelare i nostri utenti dopo l’accaduto, in merito al quale sono state avviate tutte le procedure di verifica necessarie.
Gen 28, 2022 0
Gen 27, 2022 0
Gen 26, 2022 0
Gen 25, 2022 0
Nov 21, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Nov 19, 2024 0
Devi essere connesso per inviare un commento.
Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Nov 11, 2024 0
Kaspersky ha collaborato a Synergia II, operazione...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 21, 2024 0
Playlist e podcast sono l’esca ideale per attirare ignari...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...Nov 18, 2024 0
István Márton, ricercatore di Wordfence, ha individuato...
Non vorrei fare il puntualizzante ma la legge sulla privacy prevede la crittografia di dati sensibili, non dati personali… quindi tecnicamente i dati erano conservati secondo la normativa… altra questione è quella della password… dove c’è ancora un acceso dibattito.. dove effettivamente la buona norma prevederebbe la codifica.. ma potrebbe anche essere stata decodificata dagli attivisti….